Bulletins

Un vulnérabilité critique dans Splunk

bs1.jpg

Splunk a corrigé une vulnérabilité critique d'exécution de code dans son serveur de déploiement Splunk Enterprise et promet - tardivement, selon certains - de le rétablir dans les versions antérieures.

Les serveurs de déploiement sont utilisés pour distribuer les configurations et les mises à jour de contenu aux instances Enterprise telles que les forwarders, les indexeurs et les têtes de recherche.

La vulnérabilité en question, CVE-2022-32158, affecte les versions antérieures à la 9.0 et permet aux clients d'exploiter le serveur pour déployer des paquets de forwarders vers d'autres clients.

Un attaquant ayant compromis ou ayant accès à un seul forwarder universel au sein d'un environnement pouvait alors exécuter du code arbitraire sur tous les autres terminaux Universal Forwarder (UF) au sein de cette organisation.

Splunk a déclaré qu'il n'y a aucune preuve que la vulnérabilité a été exploitée dans la nature, et que la Splunk Cloud Platform (SCP) n'est pas affectée car elle ne propose ni n'utilise de serveurs de déploiement.

"Splunk a publié des versions corrigées pour les produits concernés, qui atténuent les problèmes, et nous encourageons vivement les clients à effectuer une mise à niveau dès que possible", indique la société dans un communiqué.

La vulnérabilité affecte tous les serveurs de déploiement Splunk Enterprise antérieurs à la version 9.0. Sous la pression de la communauté, Splunk a déclaré qu'il prévoyait d'appliquer le correctif aux versions antérieures, sans toutefois préciser quand.